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@ System und Verfahren zur Integration der Netzwerkadressen-Ubersetzung mit IP-Sicherheit 

(57) IP-Sicherheit wird in einem virtuellen privaten Netz- 
werk unter Verwendung von Netzwerkadressen-Uberset- 
zung (NAT) mittels einer oder einer Kornbination der vier 
VPN-NAT-Typen VPN-NAT-Typ-a-Quelle-ausgehend-IP- 
NAT, VPN-NAT-Typ-b-Ziel-ausgehend, VPN-NAT-Typ- 
c-eingehend-Quelle-IP-NAT und VPN-NAT-Typ-d-einge- 
hend-Ziel-IP-NAT bereitgestellt. Dies schliefct die dynami- 
sche Erzeugung von NAT-Regeln und deren Verknupfung 
mit den manuell oder dynamisch erzeugten (IKE) Sicher- 
heitszuordnungen vor Beginn der IP-Sicherheit r die die Si- 
cherheitszuordnungen verwendet, ein. Wenn dann IP-Sec 
bei eingehenden und ausgehenden Datagrammen durch- 
gefuhrt wird, wird auch die NAT-Funktion durchgefuhrt. 
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Beschreibung 

Hintergrund cler Krfindung 

5 Querverweise auf damil verbundenc Anmcldungen 

[0001] Diese Anrneldung ist Conijnualion-In-Part(OP) von Scricnnummcr 09/240 720, eingereicht am 29.01.1999, 

mil dem Tite] "SysLem and Method for Network Address Translation Integration With IP Security". 

[0002J US-Patentanmeldung, Seriennummer 09/239 693, eingereicht am 29.01 .99, mit dem 'lite! "System and Method 

to for Managing Security Objects"; Seriennummer 09/240 71 8, am 29.01 .99, mit dem Tuel "System and Method for Dyna- 
mic Macro Placemen!, of IP Connection Filters"; S/N 09/239 694, eingereicht am 29.01.99, rait dem Titel "System* and 
Method for Dynamic Micro Placement, of IP Connection Filters"; S/N 09/240 483, eingereicht am 29.01 .99, mit dem Ti- 
tel "System and Method for Central Management of Connections in a Virtual Private Network, und Seriennumrner 
09/578,215, eingereicht am 23.05.99, mit dem Titel "System and Method for Network Address Translation Integration 

15 with IP Security", werden dem selben Rechtsnachfolger zugewiesen und enthalten in bestimmten Punkten Thcmen der 
vorliegenden Anrneldung. Die oben angegebenen Patentanmeldungcn sind durch Bezugnahme hier enthalten. 

Technischer Bereich der Erfindung 

20 [0003] Diese Erfindung betrifft die Sicherheit von Verbindungen virtu eller privater Netzwerke (virtual private network 
connections) (VPN) und bezieht sich im Besonderen auf VPN-NAT oder die gleichzeitige Verwendung von Netzwerk- 
adressen-Ubersetzung (network address translation) (NAT) und Internetprotokoll-(Internet Protocol) (IP) Sicherheits- 
(TPSec)-Protokolle (Security (IPSec) protocols). 

25 Stand der Technik 

[0004] Virtucllc private Netzwerke (virtual private networks) (VPNs) stellcn cincn aktiven Bereich technischer Enl- 
wicklung des gesamten Internets und der Computed ndustrie dar. Dies liegt daran, dass sie fur die meisten Formen von 
elektronischem Handel eine grundlegende Voraussetzung darstellen. VPNs verwenden Protocol Tunneling sowie Ver- 
30 schlusselungs- und Entschlusselungstechnologie (TP-Sicherheitsprotokolle), um Clients und Servern, Niederlassungen 
oder unabhangigen Organisationen die Nutzung des Internets fur ihren TCP/IP- Verkehr zu wesentlich niedrigeren Ko- 
sten zu ermoglichen, als beim Kauf von Standleitungen anfallen, ohne den wichtigsten Vorteil von Standleitungen ein- 
zubuBen: Privatsphare. 

[0005] Das Tunneling, das VPN einsetzt, hat eine Nebenwirkung, die ein Problem verursacht: zwei Teilnetze oder Un- 
35 ternehmen oder andere Benutzer, die am Anfang nicht direkt miteinander kommunizierten, tun dies nun, was die Wahr- 
scheinlichkeit von IP-Adressenkonflikten erheblich vergrdBert Netzwerkadressen-tJbersetzung (Network Address 
Translation) (NAT) wird im Internet und in Unternehmen. die sich mit dem Internet verbinden, haufig eingesetzt, um 
Adressenkonflikte zu uberwinden. Diese Konflikte ereignen sich gewohnlich zwischen festgelegten "privaten" Adress- 
raumen (d. h. 10.*.*.*) 

40 [0006] Jedoch stehen NAT und IP-Sicherheit (TP-Sec) architektonisch miteinander in Konflikt. In der Tat wird IP-Sec 
durch NAT beeintrachtigt. Das heiBt, NAT "ist die Funktion, die letztendlich die semantischeUberladung der IP-Adresse 
sowohl als ein Lokalisierer als auch als der Endpunkt-Kennzeichner aufbricht" (siehe "Architectural Implications of 
NAT", draft-iab-nat-implications-00.txt, Miirz 1998. IPSec wird beschrieben in Kent, S., and Atkinson, "Security Archi- 
tecture for the Internet Protocol", RFC2401, November 1998; Kent, S., and Atkinson, "IP Authentication Protocol", RFC 

45 2402, November 1998; and Kent, 5., and Atkinson, "IP Encapsulation Security Payload", RFC 2406, November 1998.) 
Folglich konnen zwei Hosts keine IP-Sec- Verbindung aufbauen, wenn sich dazwischen ein NAT-System befindet. Dafur 
gibt es zwei Grunde: flir den IP- Verkehr zwischen den beiden Hosts (fur die IP-Sec- Verbindung) wird das Berechti- 
gungsprotokoll (AH) oder Verkapselung der Sicherheitsnulzinformation (encapsulation security payload) (ESP) ange- 
wandt. (Siehe RFCs 2402 und 2406, oben.) 

50 [0007] Erstens ist beziiglich des Tunnelmodus die IP-Adresse, die uberselzt werden muss, im ESP-Tunnel, und sie ist 
verschlusselt. A us diesem Grund ist sie fur NAT nicht. verftigbar. Beziiglich des Berechtigungsprolokolls (AH) im Trans- 
port- oder Tunnelmodus, ist die IP-Adresse, die iibersetzt werden muss, in NAT sichtbar. doch die AH-Berechtigungser- 
kennung (authentication) enthalt sie. Daher wird durch Andem der IP-Adresse die Berechligungserkennung am fernen 
Ende der IP-Sec- Verbindung unterbrochen. Beziiglich des ESP im Transportmodus ist die IP-Adresse fur NAT verfugbar, 

55 selbst wenn ESP mit Berechligungserkennung verwendet wird. Wenn jedoch die IP-Adresse geandert wird, wird die IP- 
Sec- Verbindung aufgrund der Unterbrechung der Berechtigungserkennung am iernen Ende der IP-Sec- Verbindung un- 
terbrochen. 

[0008] Zweitens, selbst wenn der IP- Verkehr fur die IP-Sec- Verbindung iibersetzt werden konnte, wurde sie fehi- 
schlagen, weil die IP-Sec- Verbindung auf Sicherheitszuordnungen (security associations) basiert, die die beiden Host-IP- 
60 Ariressen (host. TP addresses) enthalten. Diese sind grundlegend fur die Sicherheitszuordnungsarchitektur (Security As- 
sociation architecture) (siehe RFC 2401, oben), insofem die eingehende IP-Sec auf dem Host, auf dem die Entschlusse- 
lung (oder Berechligungserkennung) zu erfolgen hat, in dreifacher Weise eindeutig beslimmt werden muss: 
{ Ziel-IP-Adr, SPI, D^-Sec-Protokoll } . 

dabei ist SPI der Sicherheitsprotokollindex (security protocol index) (siehe RFC 2401, oben) Angenommen bei gegebe- 
65 nen Hosts A und W wird NAT auf ein IP-Datagramm (ein GattungsbegrifT fur Bytes, die in die Leitung geschickt wer- 
den) angewandt, wobei sich ESP im Transportmodus befindet, der von A bis W reicht. Folglich wird die IP-Quellen- 
adresse (IP source address) geandert. Wenn das Paket bei W eintrifft, wird es wahrscheinlich erfolgreich entschliisselt, da 
dies nicht von der IP-Quellenadresse abhangt (die genau genommen un verschlusselt, also nicht getunnelt war). Bei ex- 
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akier Ausfuhrung wird die'Prufung der eingehenden SPD, die auf die Entschlusselung folgcn sollte, wegen der geander- 
ten IP-Quellenadresse fehlschlagen (da es nicht die Adresse war, die bei der Verhandlung uber die Sicherheilszuordnung 
(security association) verwendet wurde). Daher scheilerl sogar der Fall des Transportmodus-ESP. 

|0009] NAT und IP-Sec einfach gcgenseitig auszuschiieBcn, ist keine Losung, die dem Stand der Technik entspricht. 
NAT wird sehr haufig eingesetzt, da sie viele Probleme lost, beispielsweise: sie maskierl gJobale Adressenanderungen, 5 
veningerl. die Adressenbenutzung, verringcrt die Unterstiilzungslast von Intemetdienstanbietem (ISP) und ermoghcht 
die gemeinsame Nutzung von LasLen als virtue! le Hosts. 

[0010] Dennoch wird NAT als die groBlc einzelne Bedrohung fur die Sicherheitsintegration (security integration) be- 
trachtel, die heutzutage im Internet eingesctzt wird. Dieses "NAf-Problem", wie es nach wie vor bezeichnet wird, ist ar- 
chitektonisch grundlegend. Auch Aitanwendungen und -dienste (beispielsweise diejenigen, die fur IP Version 4 entwik- 10 
kell wurden) werden ihr Nebeneinanderbestehen noch langc fortfuhren, wahrend Anwendungen und Dienste fur IP Ver- 
sion 6 wciterentwickelt werden. Folgiich herrscht beim Stand der Technik eine starke Notwendigkeit fur die Bercitstel- 
lung cines Nebeneinanderbeslehens von NAT und TP-Sec, /.uniindesl. in ausgewahllen Situation en, ohne dass deshalb 
schwerwiegende Konfigurauonsprobleme entstehen. (TP Version 4 wird in "Internet Protocol", RFC791, September 
1981, beschrieben. IP Version 6 wird in Deering, S., Hinden, R., "Internet Protocol, Version 6 (IPv6) Specification", 15 
RFC2460, Dezember 1998, beschrieben.) 

[0011] Eine VPN-Verbindung zwischen zwei Adressendomanen (address domains) kann bewirken, dass zwei Doina- 
nen direkt miteinander verbunden werden, obwohl dies hochsrwahrscheinlich nicht geplant war. Daher werden durch die 
vermehrte Verwendung von VPNs die Adresscnkonflikte (address conflicts) wahrscheinlich vergrdBert. Es wird auch 
verstanden werden, dass VPNs die Netzwerksichtbarkeit (network visibility) neu definieren und die Wahrscheinlichkeit 20 
von Adressenkollision (address collision) beim Durchqueren von NATs vergroBern. Adressverwaltung im Verborgenen 
hinter NATs wird zu einer betrachtlichen Belastung. Daher bestehlbeim Stand der Technik die Notwendigkeit, diese Be- 
lastung zu verringern. 

[0012] In der US-Patentanmeldung, Seriennummer 09/240 720, wird eine Losung fur dieses allgemeine Problem der 
Integration von IP-Sec und NAT vorgestellt. In einem virtuellen privaten Netzwerk, das Netzwerkadressen-Ubersetzung 25 
(network address translation) (NAT) verwendet, wird IP-Sicherheit millels Durchfuhrung einer oder einer Koinbination 
aus vicr Typcn von VPN-NAT (VPN NAT) bcrcitgcstcllt. (Die Bcschrcibung von drci VPN-NAT-Typcn von der Rcchts- 
nachfolger-Akte END9 1999 0129 US1 ist von jetzt an hier enthalten, und der vierte Typ ist Gegenstand dieser Anmel- 
dung.) Dieser umfasst dynamisch erzeugte NAT-Regeln und deren Verkntipfung mil den manuell oder dynamisch er- 
zeugten Sicherheitszuordnungen (security associations) fur den Austausch von Internetschlusseln (Internet key ex- 30 
change) (IKE) vor Beginn der EP-Sicherheit, die die Sicherheitszuordnungen (security associations) verwendet. (Siehe 
Harkins, D., Carrel, D., "The Internet Key Exchange (IKE)" RPC2409, November 1998. Der Begriff 'Sicherheitszuord- 
nungen' (Security Associations) ist definiert in RFC201, oben.) Wenn dann IP-Sec bei eingehenden und ausgehenden Da- 
tagram men durchgefiihrt wird, wird auch die NAT-Funktion durchgefuhrt. "IP-Sec durchfiihren" bedeutet, dass die 
Schritte, die die ausgehende oder eingehende IP-Sec-Verarbeitung umfasst, ausgefuhrt werden, wie oben durch die drei 35 
IP-Sec-RFCs (und andere) definiert. "NAT durchfuhren" bedeutet, dass die Schritte ausgefuhrt werden, die die VPN- 
NAT- Verarbeitung umfassen, wie nachstehend in dieser Anmeldung beschrieben. 

[0013] In der US-Patentanmeldung, Seriennummer 09/240 720, muss der Kunde jede einzelne VPN-NAT-Regel als 
eine getrennte VPN-Verbindung konfigurieren. Dies ist zeitaufwendig und fehleranfallig, und VPN-Verbindungen sind 
eigentlich dafur gedacht, den Verkehr zu schutzen und sollten nicht von speziellen VPN-NAT-Regel n abhangen. Das 40 
heiBt, die Regeln wurden bis jetzt eins-zu-eins umgesetzt, so dass NAT die Anzahl der erforderlichen VPN-Verbindun- 
gen erhoht. 

10014] Es ist eine Aufgabe der Erfindung, ein verbessertes und stark vereinfachtes System und Verfahren fur die 

gleichzeitige AusfLihrung von Netzwerkadressen-Ubersetzung (NAT) und IP-Sicherheit (IP-Sec) bereitzustellen. 

10015] Weilerhin ist es eine Aufgabe der Erfindung, ein System und ein Verfahren zur Herabsetzung der erhohten 45 

Wahrscheinlichkeit von IP-Adressenkonflikten bereitzustellen, die ein virtuelles privates Netzwerk (VPN) mit sich 

bringt. 

[0016] Weilerhin ist es eine Aufgabe der Erfindung, ein System und ein Verfahren fur die Nutzung von VPNs bereit- 
zustellen, ohne dass eine Neuadressierung einer Domane (eine teure Alternative) erforderlich wird. 

[0017] Weilerhin ist es eine Aufgabe der Erfindung, ein System und ein Verfahren fur VPN- NAT bereitzustellen, das so 
ohne erforderliche Anderungen in Domanenhosts vollstandig im IP-Sec-Gateway zustande gebracht werden kann. 
|0018] Weilerhin ist es eine Aufgabe der Erfindung, ein System und ein Verfahren fur VPN- NAT bereitzustellen, das 
keine oder nur kleinere Anderungen am Routing in jeder verbundenen Domane erfordert. 

[0019] Weiterhin ist es eine Aufgabe der Erfindung, ein System und ein Verfahren fur VPN- NAT bereitzustellen, das 
einfach zu konfigurieren ist. 55 
[0020] Weiterhin ist es eine Aufgabe der Erfindung, eine Losung fur die Adressenkollisionsprobleme (address collision 
problems) bereitzustellen, die von VPNs verursacht werden. 

[0021] Weiterhin ist es eine Aufgabe der Erfindung, eine vereinfachte Losung fur die Konfiguration von VPN-Verbin- 
dungen durch Kunden bereitzustellen. 

[0022] Weiterhin ist. es eine Aufgabe der Erfindung, einer einzelnen VPN-Verbindung die Unterstiity.ung mehrerer 60 
VPN-NAT-Regel n zu ermoglichen. 

[0023] Weiterhin ist es eine Aufgabe der Erfindung, ein System und ein Verfahren bereitzustellen, das Konflikte unter 
den implizit oder dynamisch zugeordneten VPN- NA3 -Regeln systemubergreifend vermeidet. 

|0024] Weiterhin ist es eine Aufgabe der Erfindung, ein System und ein Verfahren bereitzustellen, das die Systemver- 
waltungszeit fur dynamische NAT-Regeln durch Beseiugung der Notwendigkeit der Verwaltung zahlreicher einzelner 65 
VPN-Verbindungen fur jede NAT-Regel verringert. 

[0025] Weiterhin ist es eine Aufgabe der Erfindung, ein VPN-NAT- System und -Verfahren bereitzustellen, das die 
Netzwerkuberwachung (network monitoring) und die Verkehrsanalyse (traffic analysis) vereinfacht. 
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Zusammenfassung der Erfindung 

[0026] GemaB der Erfindung wird ein System und ein Verfahren zur Integration von Netzwerkadressen-Ubersetzung 
innerhalb eines gesicherten virtuellen privaten Netzwerks bereitgestellt. Ein interner Netzwerkhost wird dazu konfigu- 
5 rierl, ausgewiihlten Verkehr an einc Proxy-Net zwerkadresse zu senden. Ein Gateway eines virtuellen pri valen Netzwerks 
wird mit einer Zuordnungstabelle mil Ubersetzungsregeln fiir Netzwerkadressen (network address translation rules) kon- 
figuriert. Als Reakuon auf die Ubersetzungsregeln fur Netzwerkadressen wird dann einc virtuelle private Netzwcrkvcr- 
bindung gestartel. 

[0027J Andere Merkrnale und Vorteile dieser Erfindung werden anhand der folgenden ausfuhrlichen Beschreibung der 
iu vorliegenden bevorzugten Ausfuhrungsform der Erfindung in Verbindung mil. den begleit.cn den Zeichnungen deutlich. 

Kurze Beschreibung der Zeichnungen 

[0028] Fig. 1 ist ein Flussdiagrarmn des VPN-NAT- Verfahrens der bevorzugten Ausfuhrungsform der Erfindung. 
15 [0029] Fig. 2 veranschauiicht vom Ziel ausgehende NAT, die mit von Quellen ausgehender NAT verwendet. wird, um 
es zwei Teilnetzen mit identischen Teilnetzen zu ermoglichen, gemaB der bevorzugten Ausfuhrungsform der Erfindung 
zu kommunizieren. 

[0030] Fig. 3 veranschauiicht statische NAT, die einfachste konventionelle NAT zur Darstellung des Zusammenhangs. 
[0031] Fig. 4 veranschauiicht Maskeraden-NAT (masquerade NAT), eine Art von konventioneller NAT zur Darstel- 
20 lung des Zusammenhangs. 

[0032] Fig. 5 ist ein I Jbersichts-Russdiagramm, das die Beziehungen zwischen verschiedenen Programm- und Daten- 
elementen veranschauiicht, die das System und das Verfahren der Erfindung einsetzt. 

[0033] Fig. 6 veranschauiicht. VPN-NAT, Typ b (bekannt als "Zielaus") (destination-out), gemaB der bevorzugten Aus- 
fiihrungsforrn der Erfindung. 

25 [0034] Fig. 7 ist ein Diagramm, das die Uberschneidung von Adressendomanen und die Bedingungen veranschauiicht, 
unter denen "Zielaus"- (destination-out) und ,, Quelle-aus ,, (source-out)-Netzwerkadressen-UberseLzung erforderlich ist. 

Bevorzugte Ausfuhrungsart der Erfindung 

30 [0035] GemaB der bevorzugten Ausfuhrungsform der Erfindung wird das NAT-Problem durch Funktionen angegan- 
gen, die stati. einer einzigen NAT-Ubersetzungsregel VPN-NAT mit mehreren NAT-Ubersetzungsregeln enthalt, die fiir 
eine einzelne VPN- Verbindung guitig sind. Dies vereinfacht die Konfiguration durch den Kunden erheblich. Zuvor 
musste jede Adresse, die NAT und VPN erfordert, getrennt konfiguriert. werden. Hinsichtlich der Vorangegangen US-Pa- 
tentanmeldung, Seriennummer 09/240 720, wird fiir "Typ a Quelle-aus" und "Typ d Ziei-ein"-VPN-NAT in ebenfalls an- 

35 hiingiger Patentanmeldung Seriennummer 09/578,215 sowie in der vorliegenden Anmeldung fiir "Type b Ziel-aus" zu- 
satzliche Funktion bereitgestellt. Um nichtfunktionierende EP-Sec-Verbindungen mit der versehentlichen Verwendung 
von VERBERGEN- und ZUORDNEN-NAT-Regeln (bekannt als "konventionelle NAT") zu vermeiden, wird wahrend 
der konventioneUen NAT auf AH oder ESP uberpriift. VERBERGEN- und ZUORDNEN-NAT-Regeln sind zwei grund- 
legende Formen konventioneller NAT, die in Verbindung mit. den Fig. 3 und 4 nachfolgend beschrieben werden. Wenn 

40 eine gegebene NAT-Regel fiir das IP-Paket. (TP packet), auBer fiir den AH- oder ESP-Kopf (header) guitig ist, wird keine 
Adresseniibersetzung (address translation) durchgefiihrL Dies gilt fur eingehende und ausgehende NAT. Daher wird fiir 
konventionelle NAT (im Vergleich zu VPN-NAT fur IP-Sec oder IP-Sec-NAT) IP-Sec bevorzugt. IP-Sec hat Vorrang vor 
konventioneller NAT. 

[0036] Da zu dem Zeitpunkt, da die NAT-Regeln geladen werden, nicht bekannt ist, ob irgendwelche IP-Sec- Verbin- 
45 dungen miteinander in Konflikt (z. B. dynamisches IP) stehen konnten, kann die Uberpriifung solcher Problemc erst bei 
der tatsachlichen NAT-Verarbeitung im Betriebssystemkernel erfolgen. Wenn die Journal erstellung fur die Regel akti- 
viert (on) ist, wird Benutzer-Sichtbarkeit (user visibility) fur diese Aktionen gewahrt, indem in einem Journaleintrag an- 
gezeigt wird, dass eine NAT-Regel in das Datagramm passt, jedoch wegen IP-Sec nicht durchgefuhrt worden ist. Zusatz- 
lich kann eine Protokollierung der Betriebssystemkemel-Infonnadonen dieser Aktionen fiir eine begrenzte Anzahl von 
50 Vorkommen pro konventioneller NAT-Regel bereitgestellt werden. Ahnlich kann auch eine Nachricht pro Verbindung 
statt pro Vorkommen im Jobprotokoll eines Verbindungsmanagers oder in einem Vcrbindungsjournal bereitgestellt wer- 
den. 

[0037] "Journalerstellung" und "Journaleintrag" sind Begriffe, die sich auch auf das beziehen, was gewohnlich als 
"Protokollierung" bzw. "Protokolleinurag" bekannt ist. 

55 [0038] Um zu ermoglichen, dass gemaB der in der Stammanmeldung beschriebenen Erfindung, auf die als VPN-NAT 
Bezug genommen wird, NAT am IP-Sec-Gateway mit IP-Sec verwendet wird, behalten Kunden private interne IP- 
Adressen bei. Erhohte AdressenkoUision wird dadurch vermieden, dass IP-Sec- Verbindungen am IP- Sec-Gateway be- 
ginnen und enden. Ein IP-Sec-Gateway ist ein BegrifF, der in RFC2401, oben, definiert ist, Der Begriff "VPN- Verbin- 
dung" ist ein weiterer Begriff, der sich auf das bezieht, was gewohnlich mit "IP-Sec-Tunnel" ("IP-Sec tunnel") bezeich- 

60 net wird, wobei letzlerer in RFC2401 , oben, definiert. wird. 

[0039] Weiterhin werden gemaB der Stammanmeldung virtuelle private Netzwerke (VPN) sowohl im Initiator- als 
auch im Beantworter-Modus mit einer integrierten NAT-Funktion bereitgestellt Sicherheitszuordnungen (security asso- 
ciations) werden unter Verwendung der korrekten externen (NAT-rts) IP-Adressen ausgehandelt, und die Netzwcrkadres- 
sen-Ubersetzung entsprechender interner (NATlks) IP-Adressen erfolgt durch erzeugte NAT-Regeln synchron mit der 

65 Verbindungslast fiir IPsec- und IPSec-Verarbeitung im Betriebssystemkernel. Eingehende Quelle-IP-Adressen werden 
genau wie die ubliche Quelle-IP-Adressen-NAT bei Ausgang (mit entsprechender Ubersetzung der Ziel-IP- Adresse bei 
Eingang) iibersetzt. Eine " VPN-NAT- Regel" wird in Fig. 3 durch die Blocke 72 und 76 dargestellt; das heiBt, die beiden 
Iks- und rts-Adressensatze umfassen eine VPN-NAT-Regel. 
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[0040] GemaB dcr vorliegenden Erfindung unterstiitzt eine einzelne VPN-Verbindung mehrere VFN-NAT-Regeln, in- 
dem sic deni Kundcn die Angabe einer Klasse von NAT-Regeln ermoglicht, die mil einer VPN-Verbindung verknupft 
sind, und ermoglicht es dem System, eine spezieUe NAT-Bindung (Regel) aus dieser Klasse dynamisch zu erzeugen. 
Weiterhin werden Konflikte zwischen den implizitoder dynamisch zugeordneten VPN-NAT-Regeln durch Verknupfung 
kundenkonfigurierler NAT-Adresspoots mil lokalen IP-Adressen systcmweil vermieden, wenn der VPN-NAT- Typ quel- 
leneingehend ist. Die vier VPN-NAT-Typen werden in Tabelle 1, unten, definiert. 

f 004.1] In Bezug auf Fig. 1 umfasst das Verfahren der bevorzuglen Ausfuhrungsform der Erfindung fur die Ausfuhrung 
von VPN-NAT in Schriu 20 das Konfigurieren von Verbindungen, die NAT erfordern, in Schritt 22 das Definieren von 
IPsec-NAT-Adresspools, in Schritt 24 das Starlen von Verbindungen iin Initiator-Modus, in SchritL 26 das Starten von 
Beantworter-Modus-Verbindungen (diese werden am anderen Endeder Verbindung gesiartet), in Schritt 28 die Verarbei- 
tung von SA-Paar-Aktualisierungen sowie in Schriu 30 die Beendigung dcr Verbindungen. (Ein NAT-Pool besteht aus ei- 
ner Anzahl von IP-Adressen.) Jeder dieser Schritle wird unten nahcr erklart 

|0042] Tn Schriu. 20 cntscheidet der Benutzer uber die Verbindungen, die NAT erfordern und konfigurierl diese Verbin- 
dungen. Dies ist logisch gleichbedeutend mil dem Schreiben von NAT-Rcgeln. Die vier Falle, bei denen dieses Vorgehen 
in Betracht zu ziehen ist, sind in Tabelle 1 dargestellt. 



10 



15 



TABELLE 1 



TYPEN VON VPN-NAT 

IDci (Quelle) 



IDcr (Ziel) 



20 



Initiator- 
Modus 



Beantworter-Modus 



Quelle-aus 
Typ a. NAT 
interne Adresse, 
IP-Quelle bei 
Ausgang, 

IP-Ziel bei Eingang . 

Quelle-ein 
Typ c . NAT 
externe Adresse, 
IP-Quelle bei 
Eingang, 

IP-Ziel bei Ausgang, 



Ziel-aus 
Typ b. NAT 



Ziel-ein 
Typ 4. NAT 
interne Adresse, 
IP-Ziel bei Eingang, 
IP-Quelle bei 
Ausgang . 



wobei 

IDci = "Kennzeichner des Client- Initiators" 
IDcr = "Kennzeichner des Client-Beantworters". 

[0043] Eine VPN-Verbindung besitzt definitionsgemaC vier Endpunkte: 

zwei "Verbindungscndpunkte" und zwei "Datenendpunkte". (Transportmodus bedeutet dann, dass der Verbindungsend- 
punkl gleich dem Datenendpunkt an jedem Ende der Verbindung ist.) Die Begriffe IDci und IDcr beziehen sich insbe- 
sondere auf die beiden Datenendpunkte, indem sie anzeigen, welcher der Initiator und welcher der Beantworter ist (siehe 
RFC2409, oben.) Diese Kennzeichner konnen eine von ungefahr sechs verschiedenen Formen annehmen, die Teil der 
IDci, EDcr-Definitionen sind. Fur diese Anmeldung sind Kennzeichner- Typen weniger relevant. 

[0044] Bei der Angabe eines speziellen Falls von NAT, beispielsweise in einer IP-Sec-Stratcgie-Datenbank, trifft der 
Beriutzcr eine Ja/Nein-Entschcidung, z. B. in einem Kontrollkastchen. Wic hier verwendet, beziehl. sich eine TP-Sec- 
Strategic auf die vollstandige Anzahl von konfigurierten EP-Sec-Informationen uber ein System. Diese Informationen 
werden in einer Dalenbank gespeichert, die als IP- Sec -Dalenbank oder IP-Sec-Strategie-Datenbank bezeichnet. wird. Be- 
antworter-Modus-NAT-Merker IDci und IDcr konnen Teil der Verbindungsdefinition sein. Der Initiator-Modus-Merker 
kann ein Teil des Benutzer-Clientpaars sein, das (nur) rait einer "lokalen Client-Kennung" verknupft ist. Die Beantwor- 
ter-NAT-Merker IDci und EDcr konnen unabhangig voncinander gesetzt werden. Beide sind nur relevant, wenn die Ver- 
bindungsdefinition ein en exlernen Initialisierungsmodus aufweist. 

| 0045 J In alien Fallen, in denen bis jetzt der NAT-Merker "gesetzt" war, war es erforderlich, dass der enLsprechende 
Granularilatswert in der Verbindungsdefinition "s" (Skalar) war. GeinMG der vorliegenden Erfindung besteht diese Be- 
schrankung bei dynamischcr VPN-NAT nicht mehr. Das heiBt, die Granularitaten V (Skalar), "P (Filter) und V 
(Client) werden alle unterstutzL "Granularitat" wird in RF02401, oben, auf den Seiten 15-16 beschrieben. GemaB einer 
beispielhaften Ausfuhrungsform der Erfindung, beispielsweise dem TBM AS/400, wird "Granularitat" folgendermaRen 
umgesetzt: jede VPN-Verbindung besitzt fiinf Wahler (selectors) (Felder in einem Datagramm, das eventuell gepriift 
wird, um festzustellen, ob in dcr VPN-Verbindung Verkehr vorhanden sein sollte; dies sind: Quelle-IP, Ziel-EP, Quellen- 
anschluss, Zielanschluss und Protokoll. GemaB dieser beispielhaften Ausfuhrungsform erhall jeder Wahler (selector) 
beim Start, einer VPN-Verbindung seinen Wert enlweder (1) vom Stralegiefilter fur diese VPN-Verbindung (fur Wahler- 
Granularitat "f '), (2) einzelnen Werten von IKE (fur Wahler-Granularilat "s") oder (3) einem zusamrnenhangenden Be- 
reich von Werten von IKE (fur Wahler-Granularitat "c"). 

[0046] In Bezug auf Fig. 2 veranschaulicht das System einer beispielhaften Ausfuhrungsform der vorliegenden Erfin- 
dung eine mogliche Kunden-Kon figuration, die Typ "b Ziel-aus" enthalt. Die Netzwerke 462 und 466 werden durch 
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VPN-Gateway A 470 und VPN-Gateway B 472 uber Netzwerk 460 verbunden. VPN-Gateway A 470 enthalt in dieser 
Ausfuhrungsform einen Domanennanien- Server (DNS) 468 und Tabelle 480, die von Gateway 470 verwendet wird, um 
fiir extcrne Adressen die gleichen ALiasnanien bereitzustellen wie die auf ihrem eigenen Teilnetz 462 vorhandenen. 
(DNS 468 kann sich innerhalb von Gateway 470 oder auf einern Host. 474 an anderer Stelle innerhalb von Netzwerk 462 
5 hinter Gaieway 470 in Bezug auf Tunnel 482 befinden.) Der Aliasnamen (beispielsweise 10.90.5.37) wird durch Gate- 
way 470 unmittelbar vor IP sec in seine richtige, am andercn Ende von Tunnel 482 durch Gateway 472 verwendete 
Adresse ubersetzt. Die Adressen, die fur die vorn Zicl ausgehende VPN-NAT verwendet werden, werden auf eine andere 
Art erhalten als fiir die anderen drei VPN-NAT-Typen. Das heiBt, geniaB der vorliegenden Erfindung kann ein Kunde in 
Verbindung mil jedem fernen VPN-Gateway 472, mitdem ein gegebenes Netzwerk 462 kornmunizieren muss, eine Vor- 
l o lage oder I Jbersetzungsregel einer vom Ziel ausgehenden VPN-NAT konfigurieren. Beispielsweise konnte die in Tabelle 
480 dargestellteRcgc] wie folgt ausgedriickl werden: 10.5.*.*, was bedculet, dass alle Adressen im angezeigten Teilnetz 
ubersetzt werden. Die Ziel-aus-NAT-Regel kann eine einzelnc IP- Adresse oder mehrere IP- Adressen in unterschiedh- 
chen Pormen als einen Bereich, ein Teilnetz, eine T .isle oder als eine Kombinaiion von diesen angeben. 
[0047] Domanennamen-Server (DNS) 468 wird dazu konfiguriert, redundante Kopien von Informationen zu vermei- 
ls den, die im DNS-Server 468 (konfiguriert.) enlhalten sind. Diese Verwendung von DNS lost auch einfach das Problem, 
wie sowohl der Host 474 als auch VPN-Gateway 470 Informationen (durch Verwendung des vorhandenen DNS-Proto- 
kolis) gemeinsam nutzen konnen. DNS-Server 468 wird iur externe Hosts in Intranets konfiguriert (wie beispielsweise 
Netzwerk B 466), bei denen IP- Adressen mit Netzwerk A 462 in Konflikt stehen oder stehen konnten. Die logischen In- 
formationen in Tabelle 469 werden in DNS 468 konfiguriert: ein Hostname und zwei EP-Adressen. Die erste IP-Adresse 
20 467 wird durch die DNS 468 fur eine normale "gethostbynameQ" -Abfrage (Typ A-Eintrag) zuriickgegeben. Die zweite 
IP-Adresse 471 wird durch eine andere Abfrage zuriickgegeben, vieileicht unter Verwendung von Texteintragen der 
DNS. (Tabelle 480 in Fig. 2 ist logisch das Gleiche wie Tabelle 410 in Fig. 6.) Die Beziehung zwischen Tabelle 469 in 
Fig. 2 und Tabelle 410, 480 ist folgendermaBen: IP-Adrl 467 in Tabelle 469 bilden zusammen die Iks von Tabelle 410, 
480, und IP-Adr2 471 bilden zusammen die rts von Tabelle 410, 480. 
25 [0048] Gateway 470 und alle Hosts 474 hinter dem Gateway greifen alle uber normale DNS-Abfragen auf Tabelle 469 
zu. Hosts fuhren eine normale A-Eintrag-Suche durch (beispielsweise unter Verwendung von gethostbynaine()) und er- 
halten IPaddrl 467. VPN-Gateway 470 fuhrt cine Abfrage fiir EPaddr2 471 durch. die beispielsweise im DNS-Tcxtcin- 
trag sein kann. 

[0049] Um den DNS-Server 468 mit entsprechenden Informationen zu konfigurieren. kann einem Benutzer eine grafi- 

30 sche Benutzeroberflache zur Verfugung gestellt werden, in der logisch organisierte Informationen in Tabelle 469 direkt 
durch den Benutzer bercitgestellt werden konnen, Diese Informationen konnen dann in der grafischen Benutzeroberfla- 
che (GUI) verwendet werden, um die entsprechenden DNS-Eintrage zu aktualisieren. Im Aligemeinen wiirde fiir jeden 
Host mit folgenden Merkmalen ein Eintrag gemacht werden: er ist auBcrhalb von Netzwerk A 462, er ist auBerhalb des 
Intranets 466, die Adressen in 462 und 466 konnten miteinander in Konflikt stehen, zwischen Netzwerk 462 und 466 

35 wird eine VPN- Verbindung benutzt, aus geschaftlichen Grunden miissen Hosts in Netzwerk 462 mit. einem bestimmten 
Host in Netzwerk 466 kornmunizieren. Somit wird der DNS-Server 468 gemaB der bevorzugten Ausfuhrungsform der 
Erfindung auf eine neue und vorteilhafte Weise verwendet, die jedoch von seiner aktuellen Funktionalitat unterstutzt 
wird. Das heiBt, dass diese neue Verwendung von DNS 458 das Problem lost, wie Tabelle 410, 480 (insbesondere die lks- 
Spalte) in alien Hosts im Netzwerk 462 und VPN-Gateway 470 konsistenl. ist. Dieses Problem muss gelost werden, da je- 

40 der Host, z. B. 474, der mit einem der externen Hosts kornmunizieren mochte, z. B. mit 476, die Iks- Adresse des externen 
Hosts kennen muss. Und der VPN-Gateway 470 muss auch fur einen gegebenen Host 476 die gleiche Iks- Adresse ken- 
nen. DNS 468 wird verwendet, um das Problem der Verteilung allgemeiner Informationen ohne mehrere Kopien und 
ohne die Probleme, die mit der Aufrechterhaltung des Umlaufs mehrerer Kopien verknupft sind, zu losen. 
[0050] Die Art, in der VPN-NAT-IP-Pools mit Netzwerk-Szenarios fur die anderen drei TVpen ~ " a Quelle-aus", n c 

45 Quelle-ein" und "d Ziel-ein" zusammenhangen, wird in der anhangigen Patenanmeldung Seriennummer 09/578,215, ein- 
gereicht am 23.05.99 gezeigt. Fiir Typ "b Ziel-aus" ist der Satz von IPaddrl 467 (die gesamte Spalte in Tabelle 469) das 
logische Aquivalent fiir die NAT- Pools der anderen drei Typen. Wie in Tabelle 469 konfiguriert, wird der Pool statisch 
den rts zugeordnet. In den anderen drei Typen wird der Pool dynamisch zugeordnet, wenn Verkehr stattfindeL Anders 
ausgedruckt, die Bindungszeit eines Iks mit einem rts ist fur Typ M b Ziel-aus" die Zeit, in der ein Paar in der DNS konfi- 

50 guriert wird, wobei diese Bindung bis zu einer Neukon figuration bestehen bleibt. Die Bindungszeit eines Iks mit einem 
rts fur die anderen Typen der NAT ist die Zeit, in der sich Verkehr s tatt.fi ndet, der die Durchfiihrung von NAT erfordert, 
wobei die Bindung fiir die Daucr des Verkehrs bestehen bleibt. 

[0051] Wieder bezugnehmend auf Fig. 1 definiert der Benutzer in Schritt 22 eine Anzahl von IP-Adressen, die fur die 
ausschlieBliche Verwendung der VPN-NAT-Funktion verfugbar sind. Jeder Pool ist vorzugs weise als ein Bereich der IP- 
55 Adresse definierbar, konnte aber auch aus einer Liste zusammenhangender Adressen bestehen und ist natiirlich mil den 
Einheiten der Strategie-Datenbank ferner und lokaler Kennungs-IP-Sec (remote ID and local ID Ip Sec Policy database 
end ties) verknilpft. 

[0052] Wieder bezugnehmend auf Fig. 1 werden in Schritt 24 die Verbindungen im Initiator-Modus gestartet. Wie im 
Zusammenhang mit Fig. 5 nachfolgend ausfiihrlicherbeschrieben wird, iiberpruft der Verbindungsmanager 300 (Fig. 5) 

60 beim Starten einer Verbindung im Initiator- Modus den Merker do 313 in der VPN- Strategie-Datenbank 304, um festzu- 
stelien, ob die lokale Client-Kennung ubersetzt werden muss. Weiteriiin bezugnehmend auf Fig. 5 erzeugt der Verbin- 
dungsmanager 300 die Laufzeit-Zuordnungstabelle 480 in Fig. 2, wenn Ziel-aus-NAT auf eine lokal gestartete VPN- Ver- 
bindung anzuwenden ist. Dies geschieht folgendermaBen: fur jede IP-Adresse, die (als Bereich, Liste, Teilnetz oder einer 
Kombination) als eine Zieiadresse fur die VPN- Verbindung definiert ist, fuhrt der Verbindungsmanager 300 eine DNS- 

65 Suche (beispielsweise nach dera Texteintrag) fiir diese Zieiadresse durch, um die rts- Adresse zu erhalten. Die Zieiadresse 
entspricht IPaddrl 467 und die von der DNS- Abfrage zuriickgegebene Adresse entspricht IPaddr2 471 in Tabelle 469 
(Fig. 2). TPaddr2 471 kann eine global routingfahige Adresse (routable address) oder eine private (z. B. 10.*.*.*) Adresse 
sein. Fiir eine lokal gestartete VPN- Verbindung fordert der Verbindungsmanager 300 an, dass IKE 330 (Fig. 5) Sicher- 
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hcitszuordnungen (security associations) odcr SA-Paare (SAs) unter Verwendung der rts- Adresse aushandelL Nachdeni 
IKE die SAs ferLiggeslelll hat, werden sie iri der Startmeldung 332 an den Verbindungsmanager weitergegeben. Fur eine 
ferngestartele Verbindung werden die SAs auf die gleiche Art weitergegeben. 

[0053] Die NAT-rts-IP-Adresse wird dein Sicherheitszuordnungs-(security association)(SA)Paar hinzugefiigt, das 
durch die voni IKE zuruckgegchenen SAs ferliggeslellt wird. Der Verbindungsmanager lack dann die Verbindung zur IP- 5 
Sec. Kin SA-Paar besteht aus zwei Sicherheitszuordnungen (security associations) (definiert durch RFC2401, oben), eine 
eingehende und cine ausgehende. 

|0054J IPSec erzeugt NAT-Regeln fur die beiden SAs. Bei Ausgang erfolgl: NAT nach der Fillcrung und vor IPSec, bei 
Eingang erlblgt NAT nach IPSec (und vor der Fillcrung, wenn uberhaupt). In diesein Sinne "wickeJt" NAT den lokalen 
Verbindungsendpunkt (connection endpoint) der IPSec- Verbindung "ein". In Bezug auf die Fig. 3 und 4 werden konven- 10 
lionellc NAT-Funktionen als Ilintergrund und Kontrasl fiir spatere Figurcn vcranschaulicht, die VPN-NAT-Typen geinaE 
der Erfindung zeigen, 

[0055] Tn Bezug auf Fig. 3 ist die einfachste Form von NAT statisch. Die beiden konventionellen NAT-Typen werden 
ausdrucklich voni Benutzer durch Schrciben der entsprechenden NAT-Regel-Anweisungen uber die OpNat-GUI konfi- 
guriert. Dies stehtim Gegensalz zu IPSec-NAT, in der die tatsachlichen NAT-Regeln oder Anweisungen durch das Sy- 15 
stem erzeugt werden. Die ZUORDNEN-Anwcisung <ORDNE Jks ZU rts ZU> von Fig. 3 und die VERBERGEN-An- 
weisung <ip-adr-Satz HINTER rts VERBERGEN> von Fig. 4 sind solche NAT-Regei -Anweisungen. 
|0056] Wieder in Bezug auf Fig. 3 wird, wenn bei ausgehender Verarbeitung in Schritt. <1> die Que lie-IP 70 mil Iks 72 
in der Anweisung "ORDNE Iks ZU rts ZU" u herein stiinmt, in Schritt <2> Quell-ip 70 in rLs 76 tibersetzt. Wenn bei ein- 
gehender Verarbeitung in Schritt <3> Zicl-ip 74 mit rts 76 ubereinstiirtmt, wird in Schritt <4> Ziel-ip 74 in Iks 72 uber- 20 
setzt. (Schritte <1>, <2>. . . beziehen sich auf die eingekreisten Nummern 1, 2. . . in den Figuren.) 
|0057J In Bezug auf Fig. 4 verwendel. Maskeraden-NAT (auch als Netzwerk adressen- und Anschluss-Ubersetzung 
(NAPr) bezeichnet) die VERBERGEN-Anweisung oben und liefert Vielezu-Eine-Adressenubersetzung unter Verwen- 
dung ihrer eigenen Anschlusspools 118 (UDP, TCP), um daran erinnert zu werden, wie der eingehende Verkehr zu iiber- 
setzen ist. Im Gegensatz zu statischer NAT (Fig. 3) konnen Maskeraden-NAT- Konversation en <KON VERS ATION 25 
Quell-ip, Quell-Anschluss, rtsip, rls-Anschluss, . . .> nur durch interne (Iks) Adressen gestartet werden. Einige VPN- 
NAT-Typcn setzen auch Anschlusszuordnung ein, um mchrcrcn lokalen Hosts die glcichzcitigc Kommunikation mit dem 
extern en System uber die selhe VPN- Verbindung zu ermog lichen. 

1 0058] Wenn, wieder in Bezug auf Fig. 4, bei der Verarbeitung ausgehender Datagramme in Schritt <1> ermittelt wird, 
dass die Quelle-IP-Adresse 90 im IP-Adressensatz 92 der VERBERGEN-Anweisung sein soli, wird in Schritt <2> die 30 
KON VERS AHON durch Kopieren von Queil-ip90 in das KONVERS ATTON-Feld 94, in Schritt <3> durch Kopieren 
des Quellenanschlusses 98 in das Feld 96, in Schritt <4> durch Kopieren von rts 104 in das Feld 100 und in Schrilt <5> 
durch Kopieren des rts-Anschlusses in das Feld 102 aus dem richtigen Pool des Anschlusspools 118 eingerichtet. 
|0059] AnschlieBend wird in Schritt <6> Quelle-IP 90 in rts 104 tibersetzt, und in Schritt <7> wird Quellenanschluss 
98 in rts-Anschluss 102 umgeandert. Wenn bei der Verarbeitung eingehender Datagramme in Schritt <8> Ziel-IP- 35 
Adresse 106 und Zielanschluss 108 den KONVERS ATION-Feidera rtsip 100 bzw. rts-Anschluss 102 enlsprechen, wird 
in Schritl <9> Zi el-IP- Adresse 106 in KONVERS ATION-Quelle-IP-Adresse 94 und in Schritt <10> Zielanschluss 108 in 
KONVERSATION-Quellenanschluss 96 ubersetzL 

[0060] Einige spezielle Situationen werden ebenfalls durch NAT bewaltigt. Dazu gehort die Bewaldgung spezicller Si- 
tuationen, die durch FTP oder ICMP geschaffen werden, die beide die IP- Adressen en th alien, die ubersetzt werden. (FTP 40 
bezieht sich auf File Transfer Protocol (Protokoll zur Ubertragung von Dateien im Internet) und ist in RFC959 definiert. 
ICMP bezieht sich auf Internet Control Message Protocol (Internet- Steucrnachrichtenprotjokoll) und ist in RFC792 defi- 
niert). Neuberechnung der Prufsumme wird durchgefuhrt. Sobald in der Maskeraden-NAT eine Konversation stattfindet, 
werden statl der ursprtinglichen (ausscheidenden) VERBERGEN-Regel spater Datagramme auf Ubereinstimmung ge- 
prufL. werden die Anschlusspools verwaltet, wird die Dauer der Konversationen gemessen, werden die Konversationen 45 
selbst. beendet und die An schl usse zugeordnet. Es ist ein besonderer Vorteil der Erfindung, dass ICMP und FTP (ein- 
schlieBlich der beriihmten FTP-ANSCHLUSS- und PASV-Befehle und der Begleitprobleme) von VPN-NAT unterstutzt 
werden. 

f0061] GemaB der vorliegenden Erfindung werden dynamisch bestimmte VPN-NAT-Regeln wie folgt umgesetzi. Der 
Kunde gibt iiber eine grafische Benutzeroberflache (GUI) an, dass VPN-NAT durchgefuhrt werden soil. Mehrere IP- 50 
Adressen sind fur die Quelle-IP-Adresse von lokai gestarteten Verbindungen erlaubt. Diese Mehrfach-IP-Adresscn wer- 
den uber einen (zusammenhangenden) Bereich oder iiber Adresse und Maske oder eine Adressenliste oder eine Kombi- 
nauon dieser Adressendarstellungen angegeben. Diese bilden den linksseitigen (Iks) Adressensatz der VPN-NAT-Regel. 
[0062] In Fig. 6 wird VPN-NAT-Ziel-aus veranschaulicht. Da eine Ziel-aus-NAT angefordert wird, wird fiir eine lokal 
geslartete Konversation in Schritt <-2> die implizite ZUORDNEN-Regel 428 durch eine Anzahl von DNS-Abfragen er- 55 
stellt. Fiir jede Iks-<-2>-Adresse wird eine Abfrage durchgefuhrt, um die en tsprechenderts-<-l>- Adresse abzurufen. Es 
gibt wichiige Eigenschaften, die all diese Adressen gemeinsam haben: (a) sie sind im internen Netzwerk462 (Fig. 2) des 
VPN-Gateway und zum VPN-Gateway routingfahig (routable to) und (b) sic werden innerhalb des internen Netzwerks 
fur keinen anderen Zweck benotigt, Schritt <0> ist Teil des Starts der VPN- Verbindung und erfolgt wahrend der Schritte 
24 und 26 (Fig. 1). Nachdem die IKE-Verhandlung unter Verwendung von rts 424 abgeschlossen ist, wird in Schritt <0> 60 
die implizite ZUORDNEN-Regel in den Betriebssystemkernel geladen. Dieser Schritt <0> umfasst die folgenden 
Schritte; Laden der Verbindungs-SAs und Verbindung sfilter und Ersteilung einer leeren Version von Tabelle 410. Fur 
ausgehende Verarbeitung wird in Schritt <1> die Ziel-D^-Adresse 434 des ausgehenden Datagramms mit dem lks-Eintrag 
436 in der lokaJen BindungstabelJe 410 verglichen. Wenn keine Ubereinsdmmung gefunden wird, ist kein Ziel-aus-NAT 
n5tig. Wenn in Schritt <2> eine Ubereinstimmung gefunden wird, wird die Datagramm-Ziel-IP-Adresse 434 durch rts 65 
438 des Eintrags (Zeile, Paar, Regel sind aquivalente Bcgriffe) ersetzt, der die ubereinstimmende Iks 436 enthalt. Die 
ausgehende NAT- Verarbeitung ist abgeschlossen und das Datagrarnm geht zum nachsten Schritt in der ausgehenden Ver- 
arbeitung, d. h. zu IP-Sec, iiber. Nach Verarbeitung eingehender IP-Sec wird in Schritt <3> fur eingehende Verarbeitung 
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die Quell en-IP- Adresse 442 mitrls-Eintrag 438 in der lokalen Bindungstabelle 410 verglichen. Wenn keine Obereinslim- 
mung gefunden wird, ist NAT nichl. notig. Wenn in Schritt <4> eine Ubereinstimmung gefunden wird, wird die Quelle- 
IP-Adresse 442 durch die Iks 436 des Eintrags ersetzt, der die iibereinstimmende its 438 enthalt. Die eingehende NAT- 
Verarbeitung ist. abgeschlossen und das Datagramm gcht zum nachsten Schritt. uber, in deni gewohnlich TCP/IP-Proto- 
5 koll-Slapelverarbeilung (TCP/IP prolocol stake processing) durchgefiihrl wird. 

[0063] "Eingehend" ist die Abktirzung fur "eingehendes Datagramm". Datagramme stromen aus dem VPN-Gateway 
(bekannl als "ausgehender Verkchr") und in den VPN-Gateway (bekannt als "eingehendcr Verkchr"). Diese beiden Rich- 
t.ungen oderBegriffe sind in nahczu alien Kommunikationen, wenn nicht. in alien Fallen grundlegend, einschlieBlich in 
diskreten protokollbasierten Kommunikationen wie TCP/IP und folglich in alien Funklionen, die mit VPN-NAT verb un- 
to den sind. 

[0064] ALs Nachstes erfolgt. das Laden zur IPSec. Bci Vcrarbeitung von fcrngestartelem Verbindungsverkehr konnen 
fur jedes eingehende und ausgehendc Paket (Quelle und Ziol) zwei Adressenubersctzungen erfolgen. 
[0065] Tn Bezug auf Fig. 5, schaul der Verbindungsrnanagcrserver 300 bei Rmpfang der Startmeldung (msg) 332 vom 
IKE-Server 330 auf die Verbindungsdcfinition 306 in der Datenbank 304 und priift. die NAT-Merker 314. Vor der Start- 

15 meldung 332 vom IKE-Server 330 an den Verbindungsmanager 300 geht eine Startmeldung 332 vom Verbindungsma- 
nager 300 an den IKE 330 fur lokal gestartete Verbindungen und nicht ftir ferngestartcte Meldungcn. In beiden Fallen ist 
die Startmeldung 332 von IKE 330 an den Verbindungsmanager 300 die gleiche Meldung. Wenn ein oder mehrere NAT- 
Fern-Mcrker Quelle-aus (qa) 308, Quelle-ein (qe) 310, Ziel-ein (ze) 312 oder Ziel-aus (za) 313 gesetzt ist, werden eine 
oder mehrere IP-Adressen vom entsprechenden NAT-Pool oder vom DNS 468 (Fig. 2) erhaltcn. 

20 [0066] Wenn der Verbindungsmanager 300 bczugiich Fig. 5 in Verbindung mit Fig. 1 in Schritt 28 SA-Paar-Aktuali- 
sierungen 302 erhalt, kopierl er die neuen SA-Paar-Informationen in die S A-Paar-Tabelle 322 im Verbindungsprozess- 
speicher 320. 

[0067] In Schritt 30 gibt der Verbindungsmanager 300 bei Beendigung einer Verbindung 34, 36 jede NAT-IP- Adresse 
52, 54 frei (macht sie verfiigbar), die mit der Verbindung verkntipft ist. NAT-IP-Adressen werden von der entsprechen- 

25 den Liste 316 geloscht, die vom Verbindungsmanager 300 unterhalten wird. 

[0068] In Fig. 7 wird die Beziehung zwisehen Adressendomanen und Hostadressen gezeigL und es wird gezeigt, ob 
Zicl-aus-NAT und Quelle- aus-N AT crfordcrlich sind. Jcdcr Krcis stclll cine Adrcssendomanc dar - A stclltdic Adresse 
eines Hosts 474 hinter Gateway 470 und B die Adresse eines externen Hosts 476 dar. In Fail I ist weder die Adresse von 
Host A noch die von Host B innerhalb der Verknupfung (join) ihrer jeweiligen Adressendomanen, so dass keine Netz- 

30 werkadressen-Ubersetzung (NAT) erforderlich ist. In Fall II ist nur die Adresse von Fern-Host B innerhalb der \ferkniip- 
fung der Adressendomanen; daher ist Ziel-aus-NAT erforderlich and Quelle- aus-NAT nicht. In Fall ILL ist. die Adresse 
von Host A innerhalb der Verknupfung (join) der Adressendomanen, nicht jedoch die Adresse von Host B; daher ist 
Quelle- aus-NAT erforderlich und Ziel-aus-NAT nicht. In Fall IV sind die Adressen der Hosts A und B innerhalb der Ver- 
knupfung (join) der Adressendomanen, wobei sowohl Quelle- aus-NAT als audi Ziel-aus-NAT erforderlich sind. 

35 

Vorteile gegeniiber dem Stand der Technik 

[0069] Es ist ein Vorteil der Erfindung, ein verbessertes und stark vereinfachtes System und Verfahren fur die gleich- 
zeitige Ausfuhrung von Netzwerkadressen-Ubersetzung (NAT) und IP-Si cherheit (IP- Sec) bereitzustellen. 
40 [0070] Weiterhin ist es ein Vorteil der Erfindung, ein System und ein Verfahren zur Herabsetzung der erhohten Wahr- 
scheinlichkeit von IP-Adressenkonflikten bereitzustellen, die ein virtuelles privates Netzwerk (VPN) mit sich bring t. 
[0071] Weiterhin ist. es ein Vorteil der Erfindung, ein System und ein Verfahren fur die Nutzung von VPNs bereitzu- 
stellen, ohne dass eine Neuadressierung einer Donmne (eine teure Alternative) erforderlich wird, 

[0072] Weiterhin ist es ein Vort eil der Erfindung, ein System und ein Verfahren fur VPN-NAT bereitzustellen, das voll- 
45 standig im IP-Sec-Gateway erzielt wird, ohne dass Anderungen in Domanenhosls erforderlich werden. 

[0073] Weiterhin ist es ein Vorteil der Erfindung, ein System und ein Verfahren fur VPN-NAT bereitzustellen, das 
keine oder nur kleinere Anderungen am Routing in jeder verbundenen Domane erforderL 

[0074] Weiterhin ist es ein Vorteil der Erfindung, ein System und ein Verfahren fur VPN-NAT bereitzustellen, das ein- 
fach zu kontigurieren ist. 

50 [0075] Weiterhin ist es ein Vorteil der Erfindung, eine Losung fur die Adressenkollisionsprobleme bereitzustellen, die 
von VPNs verursacht werden, 

[0076] Weiterhin ist es ein Vorteil der Erfindung, eine vcreinfachte Losung fur die KonfiguraUon von VPN- Verbindun- 
gen durch Kunden bereitzustellen. 

[0077] Weiterhin ist es ein Vorteil der Erfindung, ein System und ein Verfahren bereitzustellen, das es einer einzelnen 
55 VPN-Verbindung ermoglicht, mehrere VPN-NAT-Regeln zu unterstutzen. 

1 0078] Weiterhin ist es ein Vorteil der Erfindung, ein System und ein Verfahren bereitzustellen, das Konfiikte unter den 
implizitoder dynamisch zugeordneten VPN-NAT-Regeln systemtlbergreifend vermeidet. 

[0079] Weiterhin ist es ein Vorteil der Erfindung, ein System und ein Verfahren bereitzustellen, das die Systemverwal- 
tungszeit in Systemen fur dynamise he NAT-Regcln durch Beseitigung der Notwendigkeit der Verwaltung zahlreicher 
60 einzelncr VPN- Verbindungen fur jede NAT-Regel verringert. 

[0080] Weiterhin ist es ein Vorteil der Erfindung, ein VPN-NAT-System und -Verfahren bereitzustellen, das die Netz- 
werkiiberwachung und die Verkehrsanalyse vereinfacht. 

[0081] Weiterhin ist es ein Vorteil der Erfindung, ein VPN-NAT-System und -Verfahren bereitzustellen, das die Netz- 
werkuberwachung und die Verkehrsanalyse vereinfacht. 
65 [0082] Weiterhin ist es ein Vorteil der Erfindung, ein ganzes VPN-NAT-Losungspaket bereitzustellen, das dem Bedarf 
der Kunden entspricht. 

[0083] Weiterhin ist es ein Vorteil der Erfindung, ein nichtredundantes Verfahren bereitzustellen, um Adressenverbin- 
dungen fur bestimmte VPN-NAT-Typen zu konfigurieren und zu unterhalten. 
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1 0084] Weiterhin ist es ein Vorteil der Erfindung. dass fur alle VPN-NAT-Typen mehrere VPN-NAT-Regeln pro VPN- 
Verbindung angegeben werden konnen. 

Allem alive Ausfuhrungsfonneri 

5 

[0085] Es ist kiar, dass, obwohi spezieLlc Ausfuhrungsformen der Erfindung hier zum Zweck der Veranschaulichung 
beschrieben worden sind, verschiedene Abanderungen durchgefuhrl werden konnen, ohne vom Geist und Rahmen der 
Erfindung abzuweichen. Insbesondere liegt es im Bereich der. Erfindung, ein Computerprogrammprodukl oder -pro- 
gramntelement oder eine Programmspeicher- der Speichereinheit, wie beispielsweise ein testes oder fiiissiges Ubertra- 
gungsmedium, magnetischen oder optischen Draht, ein Band oder eine Platte oder Ahnliches zum Speichern von maschi- 10 
nenlesbaren Signalen zur Steuerung des Belriebs eines Computers nach dem Verfahren der Erfindung und/oder zur 
Strukturierung seiner Komponenten gemaB dem System der Erfindung bereitzustellen. 

[0086] Weiterhin kann jeder Schritt des Verfahrens auf jedcm gewohnlichen Computer ausgefiihrt werden, beispiels- 
weise auf einem IBM-System 390, AS/400, PC oder dergleichen und gemaB einem oder mchreren oder einem Teil von 
einem oder mehreren Programmelementen, -modulen oder -objekten, die von einer beliebigen Programmiersprache er- is 
zeugt wurden, wie beispielsweise C++, Java, Pl/i, Fortran oder dergleichen. Und weiterhin kann jeder Schritt oder eine 
Datei oder ein Objekt oder dergleichen, die bzw. das jeden Schritt. ausfuhrl, durch Spezialhardware oder durch ein fur 
diesen Zweck entwickeltes Schaltkreismodul ausgefuhrt. werden. 

[0087] Entsprcchend ist. der Rahmen des Schutzes dieser Erfindung nur durch folgende Anspriiche und ihre Aquiva- 
lente begrenzL 20 

Patentanspruche 

1. Verfahren zur Integration von Netzwerkadressen-Ubersetzung innerhalb eines gesicherten virtuellen privaten 
Netzwerks, das folgende Schritte umfasst: 25 
Konfigurieren eines inLemen Netzwerkhosts, uiii ausgewkhlten Verkehr an eine Proxy-Nelzwerkadresse zu senden; 
Konfiguricrcn eines virtuellen privaten Nctzwcrk-Gatcways mit einer Zuordnungstabcllc von Nctzwcrkadrcsscn- 
Ubersetzungsregeln; und 

Starten einer virtuellen privaten Netzwerkverbindung nach den Netzwerkadressen-Ubersetzungsregeln. 

2. Verfahren nach Anspruch 1, das weiterhin den Schritt der Konfiguration jeder Regel umfasst, um eine Ziel- 30 
adresse und eine Ersatzadresse einzuschlieSen. 

3. Verfahren nach Anspruch 2, das weiterhin die Verwendung der virtuellen privaten Netzwerkverbindung gemaB 
foigender Schritte umfasst: 

Erzeugen eines Datagramms am internen Netzwerkhost; 

Weiterleiten des Datagramms zum Gateway; 35 
Weiterleiten des Datagramms am Gateway durch Filterregeln, die ein en virtuellen privaten Netzwerktunnel definie- 
ren; 

Verarbeiten einer auf die Zuordnungstabelle zugreifenden Zieladresse im Datagramm beim virtuellen privaten 
Netzwerktunnel gemaB foigender Schritte: 

Durchsuchen der Tabelle nach einer Ubereinstimmung der Zieladresse mit einer linken Adresse eines linken/rech- 40 
ten Adressenpaars; 

Durchfuliren einer Adressenubersetzung durch Ersetzen der Zieladresse durch die rechte Adresse des Adressen- 
paars, wenn eine Ubereinstimmung gefunden wird; und 
Durchfuhren einer Sicherheitsverarbeitung. 

4. Verfahren nach Anspruch 3, das weiterhin folgende Schritte umfasst: 45 
Empfang eines eingehenden Datagramms am Gateway von einem extemen Host einschlieBlich eines Sicherheits- 
vermerks; 

als Reaktion auf den Sicherheitsvermerk, Besdmmcn einer Verbindungadresse der Netzwerkquelle; 
Verarbeiten der Netzwerkverbindungsadresse gemaB foigender Schritte: 

Durchsuchen der Tabelle nach Ubereinstimmung der Quellenverbindungsadresse mit einer rechten Adresse; so 
wenn eine Ubereinstimmung gefunden wird, Durchfuhren einer Adressenubersetzung durch Ersetzen der Quellen- 
verbindungsadresse durch den linken Eintrag des Adressenpaars; und 
Durchfuhren einer Sicherheitsverarbeitung. 

5. Verfahren nach Anspruch 4, wobei der Schritt des Besdmmens den Erhalt einer lokal routingfahigen Host-Ali- 
asadresse fur den extemen Host von einem Domanennamen- Server hinter dem Gateway beinhaltet. 55 

6. Verfahren fur die Bedienung von Domanennamen, das Folgendes umfasst: 

Konfigurieren eines Domanennamen- Servers hinter einem Gateway, um lokal rouungfahige Host-Aliasadressen fur 

extern e Hosts zu speichern; 

Aufbau einer Zuordnungstabelle durch: 

An7eigen einer T.ist.e mit Host n amen, die die linksseitigen Adresseintrage bilden, fur einen Benutzer; 60 
Aufforderung des Benutzers zur Eingabe eines entsprechenden rechtseidgen Ahasadresseneintrags als Reaktion auf 
die Auswahl eines Eintrags in der Liste durch einen Benutzer; 

Wiederholen der beiden Schritte des Anzeigens und der Aufforderung fur eine Vielzahl von Zuordnungstabellenein- 
tragen; 

Bedienen der Aliasadresse als Reaktion auf die Anforderung von einem Gateway oder einem Host hinter dem Gate- 65 
way fur eine rechtsseitige Adresse. 

7. System zur Integration von Netzwerkadressen-Ubersetzung innerhalb eines gesicherten virtuellen privaten Netz- 
werks, das Folgendes umfasst: 
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einen int.ernen Netzwerkhost zum Sender) von ausgcwahltem Verkehr an eine Proxy-Netzwerkadresse; 
eine Zuordnungstabelle mil Ubersetzungsregeln von Netzwerkadressen; und 

einen Gateway, der auf die Ubersetzungsregeln von Netzwerkadressen zum Starten einer virtuellen privalen Netz- 
werkverbindung anspricht 

8. Syslern nach Anspruch 7, wobei die Ubersetzungsregeln fur Netzwerkadressen eine Zieladresse und eine Ersatz- 
adresse beinhalten. 

9. System nach Anspruch 8, wobei der Gateway in der Lage ist, als Reaklion auf ein Datagramm vom Host das 
Weiterleiten des Daragramms durch Filterregeln, die einen virtuellen privalen Netzwerkl.unnel definieren, durchzu- 
tuhren. 

10. System nach Anspruch 9, das weiterhin umfasst: 

Mittel fur die Verarbeitung einer Zieladresse im Datagramm beim virtuellen privaten Netzwerktunnel, die auf die 
Zuordnungstabelle zugrcifen kann. 

11. System nach Anspruch 10, das weiterhin umfasst: 

Mittel zum Durchsuchen der Tabelle nach einer Ubereinstimmung der Zieladresse mit einer linken Adresse eines 
linken/rechten Adressenpaars; 

Mittel, das in der Lage ist, eine Ubereinstimmung fur die Durchfuhrung einer Adressenubersetzung durch Ersetzen 
der Zieladresse durch die rechte Adresse des Adressenpaars zu finden; und 
Mittel zur Durchfuhrung der Sicherheits verarbeitung. 

12. System nach Anspruch 9, das weiterhin umfasst: 
Empfangen, einschlieSlich eines Sicherheitsvernierks; 

Mittel, das auf den Sicherheits vermerk reagiert, der am Gateway in einem eingehenden Datagramm von einem ex- 
tern en Host empfangen wird, urn die Verbindungsadresse einer Netzwerkquelle zu ermitteln; 
Mittel zum Verarbeiten der Netzwerk verbindungsadresse durch Durchsuchen der Tabelle nach einer tjbereinstim- 
mung der Quellen verbindungsadresse mit einer rechten Adresse, und wenn eine Ubereinstimmung gefunden wird, 
Durchfuhren einer Adressenubersetzung durch Ersetzen der Quellen verbindungsadresse durch den linken Eintrag 
des Adressenpaars; und 
Durchfuhren einer Sichcrhcitsvcrarbcitung. 

13. System nach Anspruch 12, das weiterhin einen Domanenserver hinter dem Gateway umfasst, urn sowohl den 
Gateway als auch den lokalen Host mit lokalen routingfahigen Host-Aliasadressen fur den externen Host zu bedie- 
nen. 

14. System zur Domanennarnen-Bedienung, das Folgendes umfasst: 

einen Domanennamen-Server hinter einem Gateway zum Speichern lokaler routingfahiger Host-Aliasadressen fur 
externe Hosts; 

Mittel zur Erzeugung einer Zuordnungstabelle, wobei einem Benutzer eine Liste mitHostnamen angezeigt wird, die 
die linksseitigen Adresseintrage bilden und als Reaktion auf die Auswahl eines Eintrags in der Liste durch einen Be- 
nutzer dieser sich wiederholende AufForderungen zur Eingabe eines entsprechenden rechtsseitigen Aliasadressen- 
eintrags erhalt; und 

Mittel, das auf eine Anforderung von einem Gateway oder einem Host hinter dem Gateway fur eine rechtsseitige 
Adresse fur die Bedienung der Aliasadresse anspricht. 

15. Prozess zur Durchfuhrung von VPN-NAT-Ziel-aus, der folgende Schritte umfasst: 

Erstellen einer lokalen Bindungstabelle mil Regeln, die rechtsseitige und linksseiuge Regeleintragspaare enthalten; 
als Reaktion auf eine lokal gestartete Konversation, Anfordern einer Netzwerkadressen-tJbersetzung, Erstellen ei- 
ner impliziten ZUORDNEN-RegeL, die einen linken und einen rechten Eintrag en thai t, durch Kopieren einer loka- 
len Client- Ken nung in den linken Eintrag und durch Erhalt des rechten Eintrags von einem Adresspool erstellt; 
Durchfuhren einer Sicherheitsverarbeitung mit Bezug auf den rechten Eintrag; 
Starten einer VPN-Verbindung und Laden einer ersten impliziten Regel; 

fur ausgehende Verarbeitung, Vergleichen der Zieladresse mit dem linken Regeleintrag in der lokalen Bindungsta- 
belle und, falls eine Obereinstimmung gefunden wird, Ersetzen der Zieladresse mit dem rechten Regeleintrag; und 
fur eingehende Verarbeitung, Vergleichen der Quellenadresse mit dem rechten Regeleintrag in der lokalen Bin- 
dungstabelle und, falls eine Obereinsummung gefunden wird, Ersetzen der Quellenadresse mit dem linken Regel- 
eintrag. 

16. Programmspeichereinheit, die durch eine Maschine lesbar ist, die ein reales Programm mil Anweisungen ent- 
halt, die durch eine Maschine ausfuhrbar sind, um die Verfahrensschritte zur Integration der Netzwerkadressen - 
Ubersetzung innerhalb eines gesicherten virtuellen privaten Netzwerks durchzufuhren, wobei das Verfahren fol- 
gende Schritte umfasst: 

Konfiguration eines internen Netzwerkhosts, um ausgewahlten Verkehr an eine Proxy-Netzwerkadresse zu senden; 
Konfigurieren eines virtuellen privaten Netzwerk-Gateways mit einer Zuordnungstabelle, die Netzwerkadressen- 
Ubersetzungsregeln enthalt; 

Starten einer virtuellen privaten Netzwerkverbindung nach den Netzwerkadressen-Ubersetzungsregeln. 

17. Maschinenlesbare Programmspeichereinheit, die ein reales Programm mit. Anweisungen enthalt, die von einer 
Maschine ausgefuhrt. werden konnen, um Verfahrensschritte zum Bedienen von Domanennamen durchzufuhren, 
wobei das Verfahren folgende Schritte umfasst: 

Konfigurieren eines Domanennamen- Servers hinter einem Gateway, um lokal roudngfahige Host-Aliasadressen fur 

ex tern e Hosts zu speichern; 

Aufbau einer Zuordnungstabelle durch: 

Anzeigen einer Liste mit. Hostnamen, die die linksseitigen Adresseintrage bilden, fur einen Benutzer; 
als Reakdon auf die Auswahl eines Eintrags in der Liste durch einen Benutzer, Auffordem des Benutzers zur Ein- 
gabe eines entsprechenden rechtseitigen Aliasadresseintrags; 
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Wiederholen der beiden Schritte des Anzeigens und Aufforderns fur eine Vielzahl von Zuordnungsrabelleneintra- 
gen; 

als Reaktion auf eine Anforderung von einem Gateway oder einem Host, hinler dem Gateway fur eine rechtsseitige 
Adresse, Bedienen der Aliasadresse. 

18. Maschinenlesharc Programmspeichereinheil, die ein reales Programm mil Anweisungen enthalt, die von einer 5 
Maschine ausgefuhrt. werden konncn, um Verfahrensschritte zur Durchfiihrung von VPN-NAT- Ziel-aus durchzu- 
fuhren, wobei das Verfahren folgende Schritte umfasst: 

Erslellen einer lokalen Bindungsregeltabelle, die rechtsseitige and linksseitige Regeleintragspaare enthalt; 
als Reaktion auf eine lokal gestartete Konversation, Anfordern einer Netzwerkadres sen- Ubersetzung, Erstellen ei- 
ner impliziten ZUORDNEN-Regel, die einen linken und einen rechten Eintrag enthalt, durch Kopieren einer loka- 10 
len Client-Kennung in den linken Eintrag und durch Erhalt. des rechten Eintrags von einein Adresspool erstellt; 
Durchfuhren einer Sicherheitsverarbeitung mit Bezug auf den rechten Eintrag; 
Starten einer VPN- Verbin dung einschlicBIich des T.aricns einer ersten impliziten Regel; 

fur ausgehende Verarbeitung, Vergieichen der Ziel adresse mit dem linken Regel eintrag in der lokalen Bindungsta- 
belle und, falls eine Ubereinstimmung gefunden wird, Ersetzen der Zieladressc mit dem rechten Regeleintrag; und 15 
fur eingehende Verarbeitung, Vergieichen der Quellenadresse mit dem rechten Regeleintrag in der lokalen Bin- 
dungstabelle und, falls eine Ubereinstimmung gefunden wird, Ersetzen der Quellenadresse durch den linken Regel- 
eintrag. 

19. Ein Herstellungsartikel, der Folgendes umfassL: ein durch einen Computer verwendbares Medium, das ein com- 
puterlesbares PrograrnmcodemiUel zur Bedienung von Domanennamen enthalt, wobei das computerle share Pro- 20 
grammmittel in dent Herstellungsartikel Folgendes umfasst.: 

computerlesbares PrograrnmcodemitteL das bewirkt, dass ein Computer das Speichern lokal routingfahiger Host- 
Aliasadressen fiir ex tern c Hosts durchfuhrt; 

computerlesbares Programmcodemittel fur die Erzeugung einer Zuordnungstabelle, wobei fur einen Benutzer eine 
Liste mit Hostnamen angezeigt wird, die die linksseitigen Adresseintrage bilden, und als Reaktion auf die Auswahl 25 
eines Eintrags in der Lisle durch einen Benutzer, wiederkehrende Aufforderungen des Benutzers zur Eingabe eines 
cntsprcchcndcn rcchtsscitigcn Aliasadrcsscintrags; und 

computerlesbares Programmcodemittel, das auf eine Anforderung von einem Gateway oder einem Host hinter dem 
Gateway fur eine rechtsseitige Adresse fiir die Bedienung der Aliasadresse anspricht. 

30 
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